コモン クライテリアに準拠したパスワードの強度と管理の制約事項
vty を使用して同時にシステムにログインできるユーザは 4 人までです。
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
コモン クライテリアに準拠したパスワードの強度と管理機能は、ユーザ パスワードを指定するルールの保存、検索、提供のためのパスワード ポリシーおよびセキュリティ メカニズムを指定するために使用されます。
ローカル ユーザについては、ユーザのプロファイルとパスワード情報が重要なパラメータとともにシスコ デバイスに保存され、このプロファイルを使用して、ユーザのローカル認証が行われます。このユーザになり得るのは、管理者(ターミナル アクセス)またはネットワーク ユーザ(たとえば、ネットワーク アクセスのために認証された PPP ユーザ)です。
リモート ユーザについては、ユーザ プロファイル情報がリモート サーバに保存されている場合、管理アクセスとネットワーク アクセスの双方にサードパーティの認証、許可、およびアカウンティング(AAA)サーバを使って AAA サービスが提供される可能性があります。
vty を使用して同時にシステムにログインできるユーザは 4 人までです。
次の各項では、パスワードの強度と管理について説明します。
パスワード構成ポリシーでは、パスワードを作成するために、英字の大文字小文字、数字、特殊文字(「!」、「@」、「#」、「$」、「%」、「^」、「&」、「*」、「(」、「)」など)を自由に組み合わせて使用できます。
パスワードの最小長と最大長は、管理者により柔軟に設定することが可能です。推奨されるパスワードの最小長は 8 文字です。管理者は、パスワードの最小長(1)も最大長(64)も指定できます。
セキュリティ管理者は、パスワードのライフタイムを最大限にするための設定可能オプションを提供できます。ライフタイム パラメータが設定されていない場合、設定済みのパスワードは無限に有効です。最大ライフタイムは、設定可能な値を年、月、日、時間、分、および秒単位で入力することにより設定できます。ライフタイム設定は設定の一部であるためリロード後も有効ですが、パスワード作成時刻はシステムがリブートするたびに新しい時刻に更新されます。たとえば、パスワードに 1 ヵ月のライフタイムが設定されており、29 日目にシステムがリブートした場合、そのパスワードはシステム リブート後 1 ヵ月間有効になります。
ユーザがログインを試みたときにこのユーザのパスワード クレデンシャルが期限切れになっていた場合、次の処理が行われます。
ユーザは、期限切れのパスワードの入力に成功した後、新しいパスワードを設定するよう求められます。
ユーザが新しいパスワードを入力すると、パスワード セキュリティ ポリシーに照らしてそのパスワードが検証されます。
新しいパスワードがパスワード セキュリティ ポリシーに適合していれば、認証、許可、およびアカウンティング(AAA)データベースが更新され、ユーザは新しいパスワードで認証されます。
新しいパスワードがパスワード セキュリティ ポリシーに適合していない場合、ユーザは再度パスワードの入力を求められます。再試行数は、AAA では制限されていません。認証失敗の場合のパスワード プロンプトの再試行数は、それぞれのターミナル アクセス インタラクティブ モジュールによって制御されます。たとえば Telnet では、3 回失敗するとセッションが終了します。
パスワードのライフタイムを設定されていないユーザがすでにログインしているときに、セキュリティ管理者がそのユーザのライフタイムを設定すると、ライフタイムがデータベースに設定されます。同じユーザが次回に認証されるときに、システムがパスワードの期限を確認します。パスワード期限がチェックされるのは認証フェーズの間のみです。
すでに認証済みかつシステムにログイン中のユーザのパスワードが期限切れになっても、何のアクションも起こりません。同じユーザが次に認証されるときに初めて、ユーザにパスワード変更が求められます。
新しいパスワードは、前のパスワードから 4 文字以上変更されている必要があります。パスワード変更のきっかけとなるシナリオとしては、次のようなものが考えられます。
セキュリティ管理者がパスワードの変更を求める場合。
ユーザがプロファイル使用による認証を試みたが、そのプロファイルのパスワードが期限切れになっている場合。
セキュリティ管理者がパスワード セキュリティ ポリシーを変更し、既存のプロファイルがそのパスワード セキュリティ ポリシー ルールに適合しなくなっても、ユーザがすでにシステムにログインしている場合には、何のアクションも起こりません。ユーザは、パスワード セキュリティ制限に適合しないプロファイルを使用して認証を試みたときに初めて、パスワードを変更するよう求められます。
ユーザがパスワードを変更すると、セキュリティ管理者によって古いプロファイルに設定されているライフタイム パラメータが、新しいパスワードのライフタイム パラメータとして引き継がれます。
dot1x などの非インタラクティブ クライアントでは、パスワードの期限が切れると、適切なエラー メッセージがクライアントに送られます。クライアントは、セキュリティ管理者に連絡してパスワードを更新する必要があります。
ユーザがパスワードを変更すると、ユーザの再認証が行われます。
期限満了時にパスワードを変更すると、新しいパスワードに対してユーザ認証が行われます。このような場合、実際には、以前のクレデンシャルに基づいて認証が行われ、データベースで新しいパスワードが更新されます。
(注) |
ユーザがパスワードを変更できるのは、ログイン中かつ古いパスワードの期限が切れた後のみです。ただし、セキュリティ管理者はこのユーザのパスワードをいつでも変更できます。 |
dot1x などのクライアントがローカル データベースを使用して認証を行うときには、コモン クライテリアに準拠したパスワードの強度と管理機能が適用されます。ただし、パスワードの期限が切れると、クライアントによるパスワード変更はできなくなります。そのようなクライアントには適切なエラー メッセージが送られます。そのユーザは、セキュリティ管理者にパスワードの変更を要求する必要があります。
次の各項では、パスワードの強度と管理の設定について説明します。
パスワード セキュリティ ポリシーを作成し、そのポリシーを特定のユーザプロファイルに適用するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
aaa new-model 例:
|
AAA をグローバルにイネーブルにします。 |
||
ステップ 4 |
aaa common-criteria policy policy-name 例:
|
AAA セキュリティ パスワード ポリシーを作成し、コモン クライテリア設定ポリシー モードを開始します。 |
||
ステップ 5 |
char-changes number 例:
|
(任意)古いパスワードから新規のパスワードへの変更文字数を指定します。 |
||
ステップ 6 |
max-length number 例:
|
(任意)パスワードの最大長を指定します。 |
||
ステップ 7 |
min-length number 例:
|
(任意)パスワードの最小長を指定します。 |
||
ステップ 8 |
numeric-count number 例:
|
(任意)パスワード内の数字の数を指定します。 |
||
ステップ 9 |
special-case number 例:
|
(任意)パスワード内の特殊文字の数を指定します。 |
||
ステップ 10 |
exit 例:
|
(任意)コモン クライテリア設定ポリシー モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
||
ステップ 11 |
username username common-criteria-policy policy-name password password 例:
|
(任意)ユーザ プロファイルに特定のポリシーとパスワードを適用します。
|
||
ステップ 12 |
end 例:
|
特権 EXEC モードに戻ります。 |
すべてのコモン クライテリア セキュリティ ポリシーを確認するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。 |
ステップ 2 |
show aaa common-criteria policy name policy-name 例:
|
特定のポリシーのパスワード セキュリティ ポリシー情報を表示します。 |
ステップ 3 |
show aaa common-criteria policy all 例:
|
設定されたすべてのポリシーのパスワード セキュリティ ポリシー情報を表示します。 |
次の項では、コモンクライテリアに準拠したパスワードの強度と管理の設定例を示します。
次の例は、コモン クライテリア セキュリティ ポリシーを作成し、特定のポリシーをユーザ プロファイルに適用する方法を示しています。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa common-criteria policy policy1
Device(config-cc-policy)# char-changes 4
Device(config-cc-policy)# max-length 20
Device(config-cc-policy)# min-length 6
Device(config-cc-policy)# numeric-count 2
Device(config-cc-policy)# special-case 2
Device(config-cc-policy)# exit
Device(config)# username user1 common-criteria-policy policy1 password password1
Device(config)# end
RFC |
タイトル |
---|---|
RFC 2865 |
Remote Authentication Dial-in User Service(リモート認証ダイヤルイン ユーザ サービス) |
RFC 3576 |
『Dynamic Authorization Extensions to RADIUS』 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
コモン クライテリアに準拠したパスワードの強度と管理 |
Cisco IOS Release 15.2(7)E1 |
この機能が導入されました。 |